Firma Cisco je v oblasti aktivních prvků známa asi každému. Velká část jejich zařízení je vybavena jednotným operačním systémem zvaným IOS (Internetwork Operating System), který nabízí široké možnosti konfigurace a správy. V této první části série článků o IOSu se věnuji obecnému popisu IOSu, jeho používání a velmi důležitému příkazu show, který slouží k zobrazení informací.

V druhé části článků o operačním systému Cisco aktivních prvků se věnuji krátce označování switchů a následně postupům pro upgrade IOSu a s tím související zálohou IOSu a konfigurace.

V pokračování popisu operačního systému Cisco Switchů se věnuji asi nejpoužívanější oblasti, nastavování parametrů pro porty a interfacy. Od základních vlastností, přes používání VLAN, nastavení IP adresy až po zabezpečení portu pomocí Port security. Popis je pouze stručný a v závěru se nachází praktické příklady.

V další části popisu Cisco IOSu se věnuji metodám, jak vymazat existující konfiguraci switche, a tedy dostat jej do výchozího stavu. V druhé části je sepsán postup pro obnovu hesla, pokud to původní zapomeneme.

Další část popisu Cisco IOSu se věnuje shrnutí jednotlivých možností, jak se připojit ke switchi, aby bylo možno provádět jeho konfiguraci. Jedná se nejen o popis možností, ale také informace o konfiguraci těchto vlastností a zabezpečení přístupu.

V tomto díle seriálu o Cisco IOSu je pouze soupis základních vlastností, které myslím, že je dobré nastavit na novém switchi. Většina vlastností byla popsána v předchozích dílech, takže zde jsou uvedeny pouze stručně.

Další popis operačního systému Cisco IOS se tentokrát věnuje důležité, a v praxi potřebné, oblasti virtuálních lokálních sítí, tedy VLAN. Teorii jsem popsal v dřívějším článku, takže nyní se jedná o praktický popis konfigurace VLAN. Zmíněny jsou také protokoly Dynamic Trunk Protocol (DTP) pro automatické vyjednávání trunků a užitečný VLAN Trunking Protocol (VTP) pro konfiguraci VLAN na jednom místě a její automatickou distribuci na ostatní switche.

Další část seriálu o Cisco IOSu je trošku více teoretická a věnuje se tématu Access Control List, tedy ACL. Můžeme říci, že se jedná o řízení nebo identifikaci přístupu k nějakému objektu. Začínám obecnějším popisem a dělením ACL a dále se věnuji rozšířenějším IP ACL a trochu méně používaným MAC ACL. Také článek ukazuje konfiguraci Standard, Extended i Named ACL na Cisco zařízeních a jejich aplikaci na Port nebo L3 interface.

Další, značně teoretická, část popisu Cisco IOSu se věnuje tématu smyček v síti (tedy ne-stromové topologii). Nejprve zmiňuji jaké nevýhody a naopak jaké výhody nám smyčky přináší. Následně popisuji řešení souvisejících problémů pomocí Spanning Tree Protocolu (STP). A v závěru je popsána konfigurace PVSTP pomocí příkazů IOSu.

Tento článek přímo navazuje na předchozí díl, kde byl popsán obecně STP protokol a konfigurace PVSTP. V tomto díle je mnohem stručnější popis, hlavně zaměřený na konfiguraci, dvou novějších verzí STP, tedy RSTP a MSTP. Popisuje také moje praktické zkušenosti s přechodem na RSTP. A je zde malá zmínka o Flex Link.

Článek se věnuje protokolu IEEE 802.1x a jeho praktickému zprovoznění. Jedná se o užitečný, relativně jednoduchý a několik let starý protokol, který se začíná stále více implementovat. Je na něm založena řada dalších služeb. Dot1x slouží k řízení přístupu na okraji sítě (na portu). Stručně jsem popsal základní implementaci na Cisco switchi, větší část článku se věnuje konfiguraci MS verze RADIUS serveru (IAS) a závěr konfiguraci klienta.

V minulém díle jste mohli nalézt popis protokolu IEEE 802.1x a jeho základní konfiguraci (pouze povolení přístupu uživatele k portu) jak na Cisco Switchi, tak na Microsoft IAS serveru (tedy RADIUSu) a Windows klientovi. Tento díl pokračuje dále a popisuje konfiguraci dalších zajímavých možností. Nejzajímavější je patrně možnost zařazovat port do určité VLANy podle autentizace uživatele a jeho zařazení ve skupině v AD nebo povolení přístupu (do určité části sítě) uživateli, který neprošel autentizací.

Tentokrát více praktický díl, který se věnuje službám okolo DHCP. Jako hlavní službu nám Catalysty nabízí možnost provozovat DHCP server. Nebudu se zabývat úvahami nad nasazením takovéhoto DHCP serveru v ostrém provozu, ale minimálně se jedná o užitečnou vlastnost pro různé testování a laboratoře. Další užitečná a často používaná funkce je DHCP Relay Agent, tedy předávání DHCP požadavků na server. A za povšimnutí určitě stojí, zajímává bezpečnostní funkce DHCP Snooping.

Článek uvádí několik rad jak provádět každodenní operace jednodušeji a rychleji. Tipy se týkají oblastí popsaných v předchozích dílech, a buď přináší něco, co jsem se dodatečně naučil či co mi poradili čtenáři, nebo pouze vyzdvihuje něco dříve popsaného.

Pokud máme v síti více aktivních prvků, tak je třeba řadu operací co nejvíce automatizovat. Jednou z operací, které je dobré provádět pravidelně, je záloha konfigurace. Novější funkcí v Cisco IOSu jsou konfigurační archivy a funkce archive. Pomocí ní můžeme (automatizovaně) ukládat, organizovat a spravovat archivy konfigurací, vracet se ke starším konfiguracím (rollback), logovat změny konfigurace a spravovat (záloha a upgrade) obrazy IOSu (image). Jedná se rozhodně o zajímavou a užitečnou funkci.

HSRP je Cisco protokol, který je užitečný a jednoduše se konfiguruje. Slouží k zajištění vysoké dostupnosti v síti pomocí redundance routerů (bran). Tak jako STP řeší redundanci cest v síti (a potřebujeme zdvojit propojení), tak HSRP řeší redundanci prvního hopu na Layer 3 OSI (musíme zdvojit router). Článek nerozebírá teorii HSRP, ale věnuje se jeho praktickému významu a popisu (základní, ale dostatečné) konfigurace. Stručně jsou zmíněny i další protokoly – IRDP, VRRP a GLBP.

Stack je zajímavá technologie, která dovoluje některé pevné Cisco switche spojit do jednoho celku, který má společnou konfiguraci a správu a také zvyšuje spolehlivost. V podstatě se vytvoří jeden nový velký switch, který vlastní všechny porty. Pro základní vytvoření stacku stačí propojit jednotlivé switche pomocí speciálního kabelu a vše ostatní by se mělo provést automaticky. Přesto je dobré vědět co se děje a jak to funguje. A dále znát pár konfiguračních příkazů, hlavně z oblasti upgradu IOSu, protože všechny switche musí mít stejnou verzi.

Tento článek logicky navazuje na popis VLAN. Vezměme, že jsme si rozdělili naši LAN na VLANy (subnety), čímž jsme omezili broadcast domény, segmentovali síť a získali další výhody. Jenže teď bychom potřebovali, aby alespoň (nebo právě) některé VLANy mohli mezi sebou komunikovat. Potřebujeme tedy mezi jednotlivými VLANami routovat, tomu se říká inter-VLAN routing. Tento článek popisuje, jak takové routování provozovat a jak jej omezovat pomocí Access Control List (ACL).

Pokud stahujeme nějaký soubor ze sítě či prohlížíme webovou stránku, tak si ani nevšimneme řady problémů, ke kterým při přenosu dochází. Jsou to například různá zpoždění v doručení paketů nebo doručení v jiném pořadí než bylo vysílání. Komunikační protokol si s těmito problémy poradí a vše napraví. Problém nastane u operací, kdy výsledek potřebujeme okamžitě, tedy třeba VoIP a streamované audio/video. Pak se nám tyto problémy projeví v poruše obrazu a zvuku. Technologie, která řeší tyto problémy, se označuje jako zajištění kvality služby, tedy Quality of Service.

Tato část článků o Quality of Service se zaměřením na Cisco se věnuje první činnosti, kterou při aplikaci QoSu musíme provést. Jedná se o prozkoumání provozu a jeho rozdělení do tříd - classification a následně označení jednotlivých paketů touto třídou - marking.

V minulém díle jsme řešili rozřazení provozu do tříd. Zároveň jsme si popsali Modular QoS CLI, které slouží ke konfiguraci většiny QoS vlastností na Cisco IOSu. Stručně byly zmíněny i příkazy pro vlastnosti, které se budou řešit v tomto článku. Jedná se o správu šířky pásma - Traffic Rate Management, tedy nastavení maximální rychlosti, kterou může určitý provoz (například uživatel) spotřebovat. Využijeme k tomu metodu policingu (rate limiting) a shapingu.

V této časti se budeme věnovat oblasti správy zahlcení - Congestion Management. K tomu se využívají různé fronty (queues). V praxi jde o to, že můžeme vymezit určité pásmo pro nějako komunikaci, tedy garantovat šířku pásma. A případně ještě zajistit expresní odbavení (tedy nízkou latenci) - prioritizovat provoz. V druhé části se pouze lehce zmíním o podobné oblasti, zabránění zahlcení - Congestion Avoidance, které se řeší inteligentním zahazováním.

Konfigurace, které byly popsány v předchozích dílech, byly primárně určeny pro routery, i když se dají (občas v nějaké omezenější formě) použít i na switchích. V tomto díle se budu věnovat speciálním příkazům a konfiguracím určeným pro switche. Z principu činnosti, kdy switch často připojuje koncové klienty, je na něm třeba řešit jiné operace než na routeru.

Poslední díl seriálu o Quality of Service se věnuje jednoduchým praktickým příkladům. Pro toho, kdo přečetl předchozí díly, ukazuje komplexnější konfigurace. Ale je také vhodný pro ty, kteří předchozí články nečetli. Podle mého názoru můžeme konfigurovat různé vlastnosti, aniž bychom znali princip, jakým dojde k jejich provedení. Největší zaměření je na různé možnosti omezování rychlosti (propustnosti) portu.

Internet Protocol (IP) se používá pro datovou komunikaci v přepínaných počítačových sítích, které používají TCP/IP. Jedná se o nejrozšířenější protokol na internetu i v LAN. První hlavní verze se dnes označuje jako IPv4 a stále se jedná o majoritně používanou verzi. Její hlavní nevýhodou je, že adresy jsou velké 32 bitů. Proto vznikla nová verze IPv6, která přináší řadu výhod, ale hlavní rozdíl je, že adresy jsou velké 128 bitů. IPv6 se dnes již celosvětově nasazuje.

Multicast je metoda efektivní komunikace jednoho odesílatele více příjemcům. Příkladem může být internetové rádio (a přirovnání běžné rádio), kdy je jeden zdroj a mnoho příjemců, kteří přijímají stejná data ve stejnou chvíli. V praxi se to často řeší tak, že se vytvoří jednotlivá spojení pro každého příjemce. Takže je značně zatěžován server a část síťové infrastruktury je zbytečně přetížená přenosem duplicitních dat. Pomocí multicastu doručujeme informaci současně skupině příjemců co nejefektivnějším způsobem, aby zpráva přes každý síťový uzel cestovala pouze jednou, kopie se vytváří pouze, když se cesty k příjemcům rozdělují. V článku je vysvětlen obecný princip multicastu a dále se věnuje skupinovému protokolu IGMP (Internet Group Management Protocol) a směrovacímu protokolu PIM (Protocol Independent Multicast) ve všech jeho variantách.

Tento seriál se věnuje routingu, tedy směrování v počítačových sítích. Jednotlivé popisy jsou obecně platné, ale zde jsou uváděny se zaměřením na produkty firmy Cisco a s popisem konfigurace v Cisco IOSu. Tento první díl probírá základní rozdělení routovacích protokolů a popis kategorií. Popisuje základní termíny a ukazuje obecné konfigurační příkazy IOSu. Dále se věnuje Policy Based Routingu, sumarizaci adres, filtrování a redistribuci cest.

Druhý díl o routování, se zaměřením na konfigurace Cisco zařízení, se věnuje proprietálnímu protokolu firmy Cisco Enhanced Interior Gateway Routing Protocol (EIGRP).

Třetí díl o routování se zaměřením na konfigurace Cisco zařízení se věnuje asi nejrozšířenějšímu standardizovanému protokolu pro routování uvnitř AS, tedy Open Shortest Path First (OSPF).

Čtvrtý díl o routování se zaměřením na konfigurace Cisco zařízení se věnuje konkurenčnímu protokolu k OSPF, standardizovanému Intermediate System to Intermediate System (IS-IS).

Pátý díl o routování se zaměřením na konfigurace Cisco zařízení se věnuje routovacímu protokolu, který je určený pro routování mezi AS a používá se pro celý internet, jedná se o Border Gateway Protocol (BGP).

V předchozích dílech seriálu o routování (hlavně z pohledu Cisco prvků) jsem stručně sepsal vlastnosti hlavních směrovacích protokolů. V tomto posledním díle se pokouším o stručné tabulkové porovnání hlavních vlastností. Není to určeno k rozhodování při výběru vhodného routovacího protokolu, ale spíše pro přehled potřebný na Cisco test.

Občas může nastat situace, kdy chceme omezovat komunikaci mezi některými klienty v rámci stejného subnetu (VLANY). Například, aby klienti nemohli komunikovat mezi sebou, ale mohli komunikovat do internetu. K tomu nám dobře poslouží technologie zvaná Private VLAN. Případně jednodušší mechanismus Protected Ports. Na závěr ještě zmiňuji mechanismus, který blokuje neznámé unicasty či multicasty.

Access Control List (ACL) je seznam pravidel, která řídí nebo identifikují provoz na nějakém objektu (například port nebo VLAN). VLAN map je rozšíření, jehož základem je ACL, které omezuje provoz v rámci VLANy. Navíc se jedná o veškerý provoz, tedy switchovaný i routovaný. Tento článek popisuje princip, použití a konfiguraci VLAN map.

EtherChannel je technologie pro agregaci linek (jinak řečeno bundlování portů) na switchích, routerech a serverech. Dovoluje spojit několik fyzických ethernetových portů/linek do jedné logické linky, která poskytuje fault tolerance a zvyšuje rychlost (load balancing). EtherChannel můžeme konfigurovat ručně nebo využít proprietární protokol Cisco Port Aggregation Protocol (PAgP) nebo standardizovaný Link Aggregation Control Protocol (LACP). Tato technologie se používá mezi switchi, ale je možno ji využít i pro připojení serveru, zde se označuje jako NIC Teaming nebo Bonding.

Tento článek pouze shrnuje základní informace o nejběžnějších typech útoků na switche. Informace, které přináší, nalezneme na mnoha místech, zde je uvádím kvůli úplnosti. Popsány jsou útoky MAC flooding, ARP spoofing, VLAN hopping a zmíněny jsou metody, jak se jim bránit na Cisco switchích. Také je rozebrána metoda obrany zvaná Dynamic ARP Inspection.

Když router nebo L3 switch přeposílá pakety (routuje), tak používá některou z metod označovaných jako Router Switching Path, od ní se odvíjí, jak rychle může pracovat. Některé z těchto metod jsou Process Switching, Fast Switching a Cisco Express Forwarding. Článek se stručně zmiňuje o těchto metodách a popisuje i související termíny, jako CAM tabulka, FIB, ARP, ale také switch, MLS a router. Některé z těchto termínů jsou podrobněji popsány ve starších článcích.

Tento článek popisuje velice užitečnou, a na konfiguraci jednoduchou funkci, která zajišťuje kopírování veškerého provozu z jednoho (nebo více) portu switche na jiný. To využijeme, když potřebujeme analyzovat síťový provoz některého zařízení, když chceme do sítě připojit IDS/IPS systém nebo i v některých dalších případech.

V tomto díle seriálu o konfiguraci Cisco IOSu se podíváme na zabezpečení přístupu k příkazovému řádku switche (CLI), tedy k IOSu. Primárně budeme řešit autentizaci na switchi vůči MS Active Directory (za pomoci RADIUS serveru), ale podíváme se i na další možnosti. Jednoduchý popis této problematiky byl již v 5tém čísle.

Tento článek obsahuje různé další informace ohledně Quality of Service (velice stručně), které jsem potřeboval, když jsem se připravoval na Cisco test 642-845. Mimo drobných doplnění mluví o Link Efficiency Management, QoS pre-classification, Control Plane Policing, Cisco Router and Security Device Manager, doplnění Auto QoS.

Pořídili jsme v práci první switche z nových řad Catalyst 3750-X a 2960-S, které jsou opravdu povedené a je to opět posun vpřed. V tomto článku zmiňuji hlavní parametry a věnuji se dvěma novým vlastnostem, cože je připojení konzole přes USB kabel a připojení rozšiřující paměti přes USB flash disk.

Tento krátký článek řadím do kategorie Cisco IOS, i když se týká přepínačů Cisco Nexus a tedy NX-OS. Jedná se o rozšíření EtherChannelu (či PortChannel nebo Link Aggregation), tedy agregace (spojování – bundlování) více portů do jednoho virtuálního. Běžně se při agregaci musí porty nacházet na jednom fyzickém switchi či stacku. Technologie vPC umožní, aby porty byly na dvou různých Nexus přepínačích.

Stručný přehled konfigurace některých bezpečnostních funkcí, které zabezpečují komunikaci na portech přepínače. Začneme zmínkou o Traffic Storm Control, krátce se podíváme na DHCP Snooping a pak se budeme věnovat funkcím, které tuto vlastnost využívají. Více se ale zaměříme na situace, kdy se nepoužívá DHCP, ale statické IP adresy. Zmíníme si Port Security, IP Source Guard (IPSG) a Dynamic ARP Inspection (DAI).

V minulém článku jsme řešili bezpečnostní funkce, které zabezpečují komunikaci na portech přepínače se systémem Cisco IOS. V tomto díle se podíváme na to samé, ale pro Cisco Nexus. Nebudeme rozebírat vlastní bezpečnostní metody, ale pouze konfiguraci a změny oproti IOSu.

Spojení více přepínačů do jednoho logického celku má řadu výhod. Zjednoduší nám konfiguraci i topologii sítě. Můžeme se zbavit některých protokolů jako HSRP/VRRP a částečně STP (díky využití Multichassis EtherChannel). Na přístupových (access) switchích se využívá (HW) technologie StackWise. Vyšší řady přepínačů Catalyst 9000, určené do distribuční vrstvy (distribution) nebo jádra (core), mají novou technologii StackWise Virtual. Ta je ovšem velmi podobná starší Virtual Switching System. StackWise Virtual nám dovolí spojit dva fyzické přepínače do jednoho logického. Je podporováno na určitých sériích a modelech přepínačů Catalyst 9000.

Nové Cisco přepínače rodiny Catalyst 9000 jsou vybaveny systémem IOS XE a využívají společný image. Pokud pracují v doporučeném Install Mode, tak je k dispozici nový proces upgradu na novou verzi nebo instalaci oprav. Způsob je stejný pro samostatný přepínač, více přepínačů spojených technologií StackWise nebo cluster StackWise Virtual. V posledním případě je možno využít funkci In-Service Software Upgrades (ISSU).